Приложение N 4. Правила осуществления внутреннего контроля соответствия обработки персональных данных требованиям, установленным Федеральным законом "О персональных данных" и принятыми в соответствии с ним нормативными правовыми актами. Приказ Министерства экономики Республики Татарстан от 10.06.2024 N 120 "О мерах, направленных на реализацию требований постановления Правительства Российской Федерации от 21 марта 2012 года N 211 "Об утверждении перечня мер, направленных на обеспечение выполнения обязанностей, предусмотренных Федеральным законом "О персональных данных" и принятыми в соответствии с ним нормативными правовыми актами, операторами, являющимися государственными или муниципальными органами" (с изменениями и дополнениями)

Приложение N 4
к приказу Министерства экономики
Республики Татарстан
от 10 июня 2024 г. N 120

Правила
осуществления внутреннего контроля соответствия обработки персональных данных требованиям, установленным Федеральным законом "О персональных данных" и принятыми в соответствии с ним нормативными правовыми актами

1. Настоящие Правила осуществления внутреннего контроля соответствия обработки персональных данных требованиям, установленным Федеральным законом "О персональных данных" и принятыми в соответствии с ним нормативными правовыми актами (далее - Правила), разработаны в соответствии с Федеральным законом от 27 июля 2006 г. N 152-ФЗ "О персональных данных", постановлением Правительства Российской Федерации от 21 марта 2012 г. N 211 "Об утверждении перечня мер, направленных на обеспечение выполнения обязанностей, предусмотренных Федеральным законом "О персональных данных" и принятыми в соответствии с ним нормативными правовыми актами, операторами, являющимися государственными или муниципальными органами" и определяют порядок и мероприятия, проводимые в рамках внутреннего контроля соответствия обработки персональных данных (далее - внутренний контроль) в Министерстве экономики Республики Татарстан (далее - Министерство).

2. Внутренний контроль состоит из перечня мероприятий (внутренних проверок), выполнение которых позволяет оценить соответствие обработки персональных данных Министерстве требованиям Федерального закона "О персональных данных" и принятыми в соответствии с ним нормативными правовыми актами и локальными актами Министерства, а также своевременно выявить и предотвратить нарушения законодательства Российской Федерации в сфере персональных данных.

3. В целях организации и осуществления внутреннего контроля в Министерстве создается комиссия по осуществлению внутреннего контроля соответствия обработки персональных данных в Министерстве требованиям, установленным Федеральным законом "О персональных данных" и принятыми в соответствии с ним нормативными правовыми актами (далее - Комиссия). (Приложение N 1 к Правилам).

4. Внутренний контроль проводится не реже одного раза в год.

5. Настоящие Правила подлежат анализу и, при необходимости, пересмотру в случаях изменения законодательства Российской Федерации в отношении обработки персональных данных.

6. Проверки, осуществляемые в рамках внутреннего контроля, могут быть плановыми и внеплановыми.

7. Плановые проверки проводятся на основании Плана проведения внутренних проверок (Приложение N 2 к Правилам).

8. План проведения внутренних проверок должен содержать следующую информацию:

- наименование мероприятий (внутренних проверок);

- периодичность мероприятий (внутренних проверок);

- перечень лиц, ответственных за проведение мероприятий (внутренних проверок).

9. В проведении мероприятий внутреннего контроля не могут участвовать сотрудники Министерства, прямо или косвенно заинтересованные в их результатах.

10. Внутренние проверки проводятся лицами, ответственными за проведение контрольных мероприятий согласно Плану проведения внутренних проверок, с привлечением при необходимости иных сотрудников Министерства (в пределах их компетенции).

11. Внутренние проверки проводятся при непосредственном участии сотрудников Министерства, осуществляющих обработку персональных данных.

12. Контроль соответствия условий обработки персональных данных осуществляется непосредственно на месте обработки персональных данных путем опроса либо, при необходимости, путем осмотра рабочих мест сотрудников Министерства участвующих в процессе обработки персональных данных.

13. При проведении внутреннего контроля должны быть установлены:

- порядок и условия применения организационных и технических мер по обеспечению безопасности персональных данных при их обработке, необходимых для выполнения требований к защите персональных данных, исполнение которых обеспечивает установленные уровни защищенности персональных данных;

- соблюдение мер по обеспечению безопасности персональных данных при их обработке, осуществляемой без использования средств автоматизации;

- эффективность принимаемых мер по обеспечению безопасности персональных данных, обрабатываемых в информационной системе персональных#

- состояние учета машинных носителей персональных данных;

- соблюдение правил доступа к персональным данным;

- порядок и условия применения средств защиты информации;

- наличие (отсутствие) фактов несанкционированного доступа к персональным данным и принятие необходимых мер;

- осуществление мероприятий по обеспечению целостности персональных данных;

- соответствие содержания и объема обрабатываемых персональных данных заявленным целям обработки персональных данных;

- наличие правовых оснований по сбору копий документов, содержащих персональные данные.

14. По результатам проведения внутренней проверки лицом, ответственным за проведение мероприятия согласно Плану проведения внутренних проверок, оформляется Отчет о результатах проведения внутренней проверки режима обработки и защиты персональных данных в Министерстве (далее - Отчет о результатах проведения внутренней проверки). Форма Отчета о результатах проведения внутренней проверки приведена в Приложении N 3 к настоящим Правилам.

15. В случае выявления нарушений соответствия обработки персональных данных установленным требованиям сведения о выявленных нарушениях фиксируются в Отчете о результатах проведения внутренней проверки.

16. Отчет о результатах проведения внутренней проверки предоставляется Комиссии лицом, ответственным за проведение мероприятия согласно Плану проведения внутренних проверок.

17. Для устранения нарушений, выявленных по результатам внутренних проверок Комиссия формирует План мероприятий по устранению нарушений, выявленных в результате проведения внутренней проверки режима обработки и защиты персональных данных в Министерстве (далее - План мероприятий по устранению нарушений). Форма Плана мероприятий по устранению нарушений приведена в Приложении N 4 к настоящим Правилам.

18. Комиссия определяет срок устранения каждого нарушения, выявленного в процессе проведения внутренней проверки.

19. По результатам определения мероприятий, необходимых для устранения выявленных нарушений, и сроков их выполнения, лица, причастные к выявленному нарушению, приступают к их устранению.

20. По результатам проведения мероприятий, включенных в ежегодный План проведения внутренних проверок. Комиссия ежегодно или по запросу руководителя Министерства формирует Отчет о выполнении плана проведения внутренних проверок режима обработки и защиты персональных данных в Министерстве (далее - Отчет о выполнении плана проведения внутренних проверок). Форма Отчета о выполнении плана проведения внутренних проверок приведена в Приложении N 5 к настоящим Правилам.

21. Отчет по результатам внутреннего контроля Комиссия направляет руководителю Министерства.

22. При необходимости в Министерстве дополнительно может вестись Журнал проведения внутреннего контроля соответствия обработки персональных данных требованиям законодательства, а также локальным актам Министерства (далее - Журнал проведения внутреннего контроля). Форма Журнала проведения внутреннего контроля приведена в Приложении N 6 к настоящим Правилам.

23. Ответственность за своевременное ведение Журнала проведения внутреннего контроля возлагается на Комиссию.

24. Внеплановые проверки соответствия обработки персональных данных установленным требованиям проводятся на основании поступившей информации о нарушении правил обработки персональных данных в Министерстве Проведение внеплановой проверки организуется Комиссией в течение трех рабочих дней со дня поступления информации о нарушениях правит обработки персональных данных.

25. По результатам проведения внеплановой проверки также составляется Отчет о результатах проведения внутренней проверки.

26. Члены Комиссии и лица, ответственные за проведение мероприятий согласно Плану проведения внутренних проверок, обеспечивают конфиденциальность персональных данных, ставших известными им в ходе мероприятий внутреннего контроля.

27. Члены Комиссии и лица, ответственные за проведение мероприятий согласно Плану проведения внутренних проверок, несут персональную ответственность за ненадлежащее исполнение или неисполнение положений настоящих Правил.